Условный доступ для удостоверений рабочей нагрузки

  • Статья

Ранее политики условного доступа применялись только к пользователям при доступе к приложениям и сервисам, таким как SharePoint Online. Мы добавили поддержку политик условного доступа, применяемых к принадлежащим организации субъектам-службам. Мы называем эту функцию условным доступом для идентификаторов рабочей нагрузки.

Идентификатор рабочей нагрузки — это идентификатор, который позволяет приложению или субъекту-службе получать доступ к ресурсам, иногда в контексте пользователя. Такие удостоверения рабочей нагрузки отличаются от традиционных учетных записей пользователей, так как:

  • Они не могут выполнять многофакторную проверку подлинности.
  • Во многих случаях у них нет формального процесса жизненного цикла.
  • Они должны где-то хранить свои учетные данные или секреты.

Такие различия затрудняют управление удостоверениями рабочей нагрузки и повышают риск их компрометации.

Внимание

Лицензии удостоверений рабочей нагрузки Premium необходимы для создания или изменения политик условного доступа для областей в субъектах-службах. В каталогах без соответствующих лицензий существующие политики условного доступа для удостоверений рабочей нагрузки будут продолжать функционировать, но не могут быть изменены. Дополнительные сведения см. на странице Идентификация рабочей нагрузки Microsoft Entra.  

Примечание.

Политику можно применить к отдельным субъектам-службам арендатора, зарегистрированным в арендаторе. Сторонние приложения SaaS и мультитенатнтые приложения не попадают в область действия. Управляемые идентификаторы не охватываются этой политикой.

Условный доступ для удостоверений рабочей нагрузки позволяет блокировать субъекты-службы вне доверенных диапазонов общедоступных IP-адресов, исходя из риска, обнаруженного Защитой идентификации Microsoft Entra, или в сочетании с контекстами проверки подлинности.

Внедрение

Создание политики условного доступа на основе расположений

Создайте политику условного доступа на основе расположения, которая применяется к субъектам-службам.

  1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
  2. Перейдите к условному доступу к защите>.
  3. Выберите команду Создать политику.
  4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
  5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
    1. В разделе "Что применяется к этой политике?", выберите удостоверения рабочей нагрузки.
    2. В разделе Включить нажмите Выберите субъекты-службы и укажите соответствующие субъекты-службы в списке.
  6. В разделе "Целевые ресурсы>Облачные приложения включают" выберите "Все облачные приложения".> Политика применяется только в том случае, если субъект-служба запрашивает маркер.
  7. В разделе Условия>Расположения добавьте Любое расположение и исключите Выбранные расположения, к которым вы хотите разрешить доступ.
  8. В разделе Предоставить единственным доступным вариантом является Блокировать доступ. Доступ блокируется, когда запрос маркера выполняется из-за пределов допустимого диапазона.
  9. Политику можно сохранить в режиме Только отчет, что позволяет администраторам оценить ее последствия. Чтобы применить политику, ее нужно включить.
  10. Щелкните Создать, чтобы завершить создание политики.

Создание политики условного доступа на основе рисков

Создайте политику условного доступа на основе рисков, которая применяется к субъектам-службам.

Создание политики условного доступа с использованием идентификатора рабочей нагрузки и риска в качестве условия.

  1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
  2. Перейдите к условному доступу к защите>.
  3. Выберите команду Создать политику.
  4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
  5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
    1. В разделе "Что применяется к этой политике?", выберите удостоверения рабочей нагрузки.
    2. В разделе Включить нажмите Выберите субъекты-службы и укажите соответствующие субъекты-службы в списке.
  6. В разделе "Целевые ресурсы>Облачные приложения включают" выберите "Все облачные приложения".> Политика применяется только в том случае, если субъект-служба запрашивает маркер.
  7. В соответствии с рисками>субъекта-службы
    1. Установите переключатель Настроить на значение Да.
    2. Выберите уровни риска, для которых должна активироваться эта политика.
    3. Нажмите кнопку Готово.
  8. В разделе Предоставить единственным доступным вариантом является Блокировать доступ. Доступ блокируется при просмотре указанных уровней риска.
  9. Политику можно сохранить в режиме Только отчет, что позволяет администраторам оценить ее последствия. Чтобы применить политику, ее нужно включить.
  10. Щелкните Создать, чтобы завершить создание политики.

Откат

Если вы хотите выполнить откат этой функции, вы можете удалить или отключить все созданные политики.

Журналы входа

Журналы входа используются, чтобы узнать, как политика применяется к субъектам-службам, а также проанализировать предполагаемые последствия политики при использовании режима "только отчет".

  1. Перейдите к журналам входа>субъекта-службы мониторинга удостоверений и работоспособности.>>
  2. Выберите запись в журнале и перейдите на вкладку Условный доступ, чтобы просмотреть результаты оценки.

Причина сбоя при условном доступе блокирует субъект-службу: "Доступ заблокирован из-за политик условного доступа".

Режим "Только отчет"

Чтобы просмотреть результаты политики на основе расположения, обратитесь к вкладке событий Только отчет в Отчете о входе в систему или воспользуйтесь книгой Сведения об условном доступе и создание отчетов .

Чтобы просмотреть результаты политики на основе рисков, обратитесь к вкладке событий Только отчет в Отчете о входе в систему.

Справочные материалы

Поиск objectID

Идентификатор объекта субъекта-службы можно получить из приложений Microsoft Entra Enterprise. Не удается использовать идентификатор объекта в Microsoft Entra Регистрация приложений. Этот идентификатор является идентификатором объекта регистрации приложения, а не субъекта-службы.

  1. Перейдите к корпоративным приложениям> удостоверений>, найдите зарегистрированное приложение.
  2. На странице Обзор скопируйте идентификатор объекта приложения. Этот идентификатор является уникальным для субъекта-службы и используется политикой условного доступа для поиска вызывающего приложения.

Microsoft Graph

Пример кода JSON для настройки на основе расположений с помощью бета-версии конечной точки Microsoft Graph.

{
  "displayName": "Name",
  "state": "enabled OR disabled OR enabledForReportingButNotEnforced",
  "conditions": {
    "applications": {
      "includeApplications": [
        "All"
      ]
    },
    "clientApplications": {
      "includeServicePrincipals": [
        "[Service principal Object ID] OR ServicePrincipalsInMyTenant"
      ],
      "excludeServicePrincipals": [
        "[Service principal Object ID]"
      ]
    },
    "locations": {
      "includeLocations": [
        "All"
      ],
      "excludeLocations": [
        "[Named location ID] OR AllTrusted"
      ]
    }
  },
  "grantControls": {
    "operator": "and",
    "builtInControls": [
      "block"
    ]
  }
}

Следующие шаги